הגדרת גישה לאינטרנט למכונות וירטואליות של עומסי עבודה

אתם מגדירים את שירות הרשת לגישה לאינטרנט לעומסי עבודה של VMware ב-Google Cloud VMware Engine על בסיס אזור. אתם יכולים להפנות תנועה שיוצאת לאינטרנט ממכונות וירטואליות של עומס העבודה באמצעות קצה האינטרנט של Google Cloudאו חיבור מקומי.

ב-VMware Engine אפשר להגדיר גישה לאינטרנט למכונות וירטואליות של עומסי עבודה באמצעות השיטות הבאות:

• שירות גישה לאינטרנט ב-VMware Engine: מאפשר גישה ישירה לאינטרנט למכונות וירטואליות של עומסי עבודה באמצעות קצה האינטרנט של Google Cloud. מידע נוסף זמין במאמר הגדרת שירות הגישה לאינטרנט.
• חיבור מקומי: מנתב תנועה שיוצאת לאינטרנט ממכונות וירטואליות של עומסי עבודה דרך החיבור המקומי. מידע נוסף זמין במאמר בנושא שימוש בחיבור מקומי לגישה לאינטרנט של עומסי עבודה.
• רשת VPC של הצרכן: מנתבת תנועה שמיועדת לאינטרנט ממכונות וירטואליות של עומסי עבודה דרך רשת ה-VPC של הצרכן. מידע נוסף זמין במאמר בנושא שימוש ב-VPC בפרויקט כדי להעניק לעומס העבודה גישה לאינטרנט.

מכונות וירטואליות של עומסי עבודה שיש להן גישה לאינטרנט יכולות גם לגשת לשירותי Google Cloudבאמצעות גישה פרטית ל-Google. הגישה לשירותים באמצעות גישה פרטית ל-Google נשארת בתוך הרשתות ולא יוצאת לאינטרנט. Google Cloud Google Cloud

שירות הרשת לגישה לאינטרנט תומך בפעולות הבאות:

• עד 100 כתובות IP ציבוריות לכל אזור
• עד 100 כללי גישה חיצונית לכל מדיניות רשת
• תפוקה של עד ‎2 Gbps לכל אזור
• פרוטוקולי TCP,‏ UDP ו-ICMP

שירות הרשת לגישה לאינטרנט לא תומך ביכולת של שער ברמת האפליקציה (ALG).

לפני שמתחילים

כדי לשנות את הגדרות הגישה לאינטרנט של הענן הפרטי, צריך גישת אדמין ל-VMware Engine.

כדי להפעיל גישה לאינטרנט, צריך טווח כתובות CIDR של שירותי קצה. כשמפעילים את שירותי הגישה לאינטרנט או את שירותי רשת ה-IP הציבורית, שערים נפרסים בהקשר של דייר השירות.

משתמשים בטווח כתובות CIDR של שירותי הקצה כדי לטפל בבעיות שקשורות לגישה לאינטרנט ולשערי כתובות IP ציבוריות ב-VMware Engine. טווח הכתובות צריך לעמוד בדרישות הבאות:

• הטווח צריך להיות פרטי ותואם ל-RFC 1918.
• לא חופפים לטווחים אחרים של כתובות ב-VMware Engine, כמו טווח הכתובות שמשמש למכשירי ניהול או לפלחים של NSX.
• לא חופפים לטווחים של כתובות שמפורסמים ב-VMware Engine, כמו אלה שמשמשים לרשתות משנה של רשתות בענן וירטואלי פרטי (VPC) או לרשתות מקומיות.
• הקצאת טווח כתובות IP עם 26 ביטים של מסכה של רשת משנה (‎/26).

הדרישות של Google Cloud CLI ו-API

כדי להשתמש בכלי gcloud של שורת הפקודה או ב-API לניהול המשאבים של VMware Engine, מומלץ להגדיר את הכלים כמו שמתואר בהמשך.

curl -X GET -H "Authorization: Bearer \"$TOKEN\"" -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations

הגדרת שירות הגישה לאינטרנט

כדי לתת למכונות וירטואליות של עומס העבודה גישה לאינטרנט, צריך ליצור או לעדכן מדיניות רשת.

כברירת מחדל, שירות הרשת לגישה לאינטרנט מושבת.

הפעלת שירות הגישה לאינטרנט באזור מסוים

gcloud vmware network-policies create NETWORK_POLICY_NAME \
    --vmware-engine-network projects/PROJECT_ID/locations/LOCATIONS/vmwareEngineNetworks/NETWORK_ID \
    --edge-services-cidr=IP_RANGE \
    --location=LOCATION \
    --internet-access

curl -X POST -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies?networkPolicyId=NETWORK_POLICY_NAME

'{
  "vmwareEngineNetwork":"projects/PROJECT_ID/locations/LOCATION/vmwareEngineNetworks/NETWORK_ID",
  "edgeServiceCidr":"IP_RANGE",
  "internetAccess": {
    "enabled": true
   },
   "externalIp": {
     "enabled": true
   }
}'

from google.api_core import operation
from google.cloud import vmwareengine_v1


def create_network_policy(
    project_id: str,
    region: str,
    ip_range: str,
    internet_access: bool,
    external_ip: bool,
) -> operation.Operation:
    """
    Creates a new network policy in a given network.

    Args:
        project_id: name of the project you want to use.
        region: name of the region you want to use. I.e. "us-central1"
        ip_range: the CIDR range to use for internet access and external IP access gateways,
            in CIDR notation. An RFC 1918 CIDR block with a "/26" suffix is required.
        internet_access: should internet access be allowed.
        external_ip: should external IP addresses be assigned.

    Returns:
        An operation object representing the started operation. You can call its .result() method to wait for
        it to finish.

    Raises:
        ValueError if the provided ip_range doesn't end with /26.
    """
    if not ip_range.endswith("/26"):
        raise ValueError(
            "The ip_range needs to be an RFC 1918 CIDR block with a '/26' suffix"
        )

    network_policy = vmwareengine_v1.NetworkPolicy()
    network_policy.vmware_engine_network = f"projects/{project_id}/locations/{region}/vmwareEngineNetworks/{region}-default"
    network_policy.edge_services_cidr = ip_range
    network_policy.internet_access.enabled = internet_access
    network_policy.external_ip.enabled = external_ip

    request = vmwareengine_v1.CreateNetworkPolicyRequest()
    request.network_policy = network_policy
    request.parent = f"projects/{project_id}/locations/{region}"
    request.network_policy_id = f"{region}-default"

    client = vmwareengine_v1.VmwareEngineClient()
    return client.create_network_policy(request)

הנחיות לשימוש ב-HCX Mobility Optimized Networking ‏ (MON)

אם מעבירים מכונות וירטואליות באמצעות HCX עם Mobility Optimized Networking (MON), צריך להגדיר ניתוב ספציפי כדי להבטיח קישוריות לאינטרנט.

אם הפעלתם את MON עבור פלחים של Layer 2 Extension ‏ (L2E),‏ VMware Engine לא יפרסם באופן אוטומטי מסלולים למכונות וירטואליות שהועברו לשירות האינטרנט שלו. כדי לוודא שלמכונות הווירטואליות האלה תהיה גישה לאינטרנט, צריך להפעיל חלוקה מחדש של נתיב סטטי ל-BGP בנתב Tier-1.

השלב הזה נדרש כדי לפרסם את המסלולים של פלחים שמופעל בהם MON, וכך לאפשר להם לנתב תנועת אינטרנט דרך סביבת VMware Engine. ללא ההגדרה הזו, למכונות וירטואליות בפלחים האלה אין גישה לאינטרנט הציבורי.

השבתת שירות הגישה לאינטרנט באזור מסוים

כדי להשבית את שירות הגישה לאינטרנט באזור מסוים:

gcloud vmware network-policies update NETWORK_POLICY_NAME \
  --no-internet-access \
  --location LOCATION

curl -X PATCH -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies/NETWORK_POLICY_NAME?updateMask=internetAccess.enabled,externalIp.enabled -d "{
  "internetAccess": {
    "enabled": false
 },
  "externalIp": {
    "enabled": false
   }
}"

from google.api_core import operation
from google.cloud import vmwareengine_v1


def update_network_policy(
    project_id: str, region: str, internet_access: bool, external_ip: bool
) -> operation.Operation:
    """
    Updates a network policy in a given network.

    Args:
        project_id: name of the project you want to use.
        region: name of the region you want to use. I.e. "us-central1".
        internet_access: should internet access be allowed.
        external_ip: should external IP addresses be assigned.

    Returns:
        An operation object representing the started operation. You can call its .result() method to wait for
        it to finish.
    """

    client = vmwareengine_v1.VmwareEngineClient()
    request = vmwareengine_v1.UpdateNetworkPolicyRequest()
    request.update_mask = "internetAccess.enabled,externalIp.enabled"
    network_policy = vmwareengine_v1.NetworkPolicy()
    network_policy.name = (
        f"projects/{project_id}/locations/{region}/networkPolicies/{region}-default"
    )
    network_policy.vmware_engine_network = f"projects/{project_id}/locations/{region}/vmwareEngineNetworks/{region}-default"
    network_policy.internet_access.enabled = internet_access
    network_policy.external_ip.enabled = external_ip

    request.network_policy = network_policy

    return client.update_network_policy(request)

שימוש ב-VPC בפרויקט לגישה לאינטרנט של עומסי עבודה

אפשר להפנות תעבורה שמיועדת לאינטרנט מהמכונות הווירטואליות של עומס העבודה ב-VMware Engine דרך VPC בפרויקט. האפשרות הזו זמינה רק לרשתות VMware Engine רגילות שמקושרות לרשת ה-VPC שלכם.

כדי לגשת לאינטרנט מהמכונות הווירטואליות של עומס העבודה דרך VPC בפרויקט, צריך לבצע את השלבים הבאים:

1. מגדירים גישה לאינטרנט ב-VPC.
   • אם משתמשים ב-Cloud NAT: מוודאים ש-Cloud NAT מוגדר לספק גישה לאינטרנט למשאבים ברשת ה-VPC. לא נדרש מסלול ספציפי ל-0.0.0.0/0, כי Cloud NAT מספק קישוריות לאינטרנט באופן ישיר.
   • אם אתם לא משתמשים ב-Cloud NAT: ודאו שיש לכם נתיב ב-VPC ליעד 0.0.0.0/0 שמפנה את התנועה לנקודת מעבר שמספקת גישה לאינטרנט, כמו חומת אש או שרת proxy שמבוססים על מכונה. בנוסף, צריך להגדיר קישור בין רשתות שכנות ב-VPC כדי להחליף מסלולים מותאמים אישית. מעדכנים את חיבור ה-Peering כדי לייצא נתיבים מותאמים אישית מ-VPC ולייבא אליו נתיבים מותאמים אישית.
2. משביתים את הגישה לאינטרנט ואת שירות כתובות ה-IP הציבוריות ברשת VMware Engine. כדי לעשות זאת, פועלים לפי השלבים במאמר השבתת שירות הגישה לאינטרנט באזור.

אחרי שמבצעים את השלבים האלה, תעבורת נתונים שמיועדת לאינטרנט מ-VM של עומס העבודה מנותבת דרך חיבור ה-peering לרשת ה-VPC, ומשתמשת בפתרון הגישה לאינטרנט שהוגדר שם.

פרטים נוספים זמינים במאמר הגדרת גישה לאינטרנט למכונות וירטואליות של עומסי עבודה באמצעות VPC.

שימוש בחיבור מקומי לגישה לאינטרנט של עומסי עבודה

אפשר גם להפנות תנועה שמיועדת לאינטרנט ממכונות וירטואליות של עומסי עבודה ב-VMware Engine דרך חיבור מקומי. האופן שבו VMware Engine מנתב את התעבורה תלוי במצב של הגורמים הבאים:

• פרסום של מסלול ברירת מחדל (0.0.0.0/0) משרת מקומי
• שירות כתובות IP ציבוריות ב-VMware Engine
• שירות גישה לאינטרנט ב-VMware Engine
• ‫VPC Service Controls בחיבור ה-peering של ה-VPC בין רשת ה-VPC לבין VMware Engine (רק ברשתות VMware Engine מדור קודם)

הפעלה של ניתוב תעבורת אינטרנט דרך חיבור מקומי

כדי לגשת לאינטרנט ממכונות וירטואליות של עומסי עבודה דרך חיבור מקומי, צריך לבצע שני שלבים:

1. פרסום נתיב ברירת המחדל (0.0.0.0/0) מהרשת המקומית דרך חיבור מקומי (Cloud VPN או Cloud Interconnect). בודקים את שער Cloud VPN או את Cloud Router שבהם מסתיים החיבור המקומי ל-VPN.
2. משביתים את הגישה לאינטרנט ואת שירות כתובות ה-IP הציבוריות ברשת VMware Engine.

gcloud vmware network-policies update NETWORK_POLICY_NAME \
  --no-internet-access \
  --no-external-ip-address \
  --location LOCATION

gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK \
   --service=servicenetworking.googleapis.com

curl -X PATCH -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies/NETWORK_POLICY_NAME?updateMask=internetAccess.enabled,externalIp.enabled

"{
  "internetAccess: {
    "enabled": false
   },
  "externalIp: {
    "enabled": false
   }
}"

gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK_NAME \
   --service=servicenetworking.googleapis.com

from google.api_core import operation
from google.cloud import vmwareengine_v1


def update_network_policy(
    project_id: str, region: str, internet_access: bool, external_ip: bool
) -> operation.Operation:
    """
    Updates a network policy in a given network.

    Args:
        project_id: name of the project you want to use.
        region: name of the region you want to use. I.e. "us-central1".
        internet_access: should internet access be allowed.
        external_ip: should external IP addresses be assigned.

    Returns:
        An operation object representing the started operation. You can call its .result() method to wait for
        it to finish.
    """

    client = vmwareengine_v1.VmwareEngineClient()
    request = vmwareengine_v1.UpdateNetworkPolicyRequest()
    request.update_mask = "internetAccess.enabled,externalIp.enabled"
    network_policy = vmwareengine_v1.NetworkPolicy()
    network_policy.name = (
        f"projects/{project_id}/locations/{region}/networkPolicies/{region}-default"
    )
    network_policy.vmware_engine_network = f"projects/{project_id}/locations/{region}/vmwareEngineNetworks/{region}-default"
    network_policy.internet_access.enabled = internet_access
    network_policy.external_ip.enabled = external_ip

    request.network_policy = network_policy

    return client.update_network_policy(request)

gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK \
   --service=servicenetworking.googleapis.com

אם אתם משתמשים ברשת מדור קודם של Google Cloud VMware Engine, אתם צריכים להפעיל את VPC Service Controls כדי לנתב גישה לאינטרנט של VEN מדור קודם דרך חיבור מקומי או VPC בפרויקט שלכם. הדרישה הזו חלה רק על רשתות מדור קודם של Google Cloud VMware Engine, ולא על רשתות VEN רגילות.

כשמפעילים את VPC Service Controls,‏ Google Cloud מבצעים את שינויי הניתוב הבאים ברשת ה-VPC של ספק השירות (במקרה הזה, פרויקט הדייר של השירות שמקושר באמצעות VPC ל-VMware Engine):

• הסרת מסלול ברירת המחדל של IPv4 (יעד 0.0.0.0/0, שער ברירת המחדל של האינטרנט לצעד הבא).
• מתחיל להעביר תנועת אינטרנט באמצעות נתיב ברירת המחדל של קישור בין רשתות שכנות (peering) של VPC.

דוגמה:

כדי להפעיל את VPC Service Controls לקישור של רשת בשם my-network בפרויקט הנוכחי, משתמשים בפקודה gcloud services vpc-peerings enable-vpc-service-controls:

gcloud services vpc-peerings enable-vpc-service-controls \
    --network=my-network \
    --service=servicenetworking.googleapis.com

השבתת ניתוב תנועת אינטרנט דרך חיבור מקומי

כדי להשבית את הניתוב של תנועת האינטרנט מהמכונות הווירטואליות של עומס העבודה דרך חיבור מקומי, מפסיקים לפרסם את נתיב ברירת המחדל (0.0.0.0/0) ומשביתים את VPC Service Controls בחיבור ה-VPC.

אם משתמשים ברשת VMware Engine מדור קודם: משביתים את VPC Service Controls בקישור לרשת השכנה בין רשת ה-VPC ל-VMware Engine באמצעות הפקודה gcloud services vpc-peerings disable-vpc-service-controls:

gcloud services vpc-peerings disable-vpc-service-controls \
    --network=VPC_NETWORK_NAME \
    --service=servicenetworking.googleapis.com

המאמרים הבאים

• איך מקצים כתובת IP ציבורית למכונה וירטואלית בענן הפרטי.
• כללים לגישה חיצונית מסננים את תעבורת הרשת אל משאבי הענן הפרטי וממנו.